Publié le 2024-05-15 10:00:00. Des chercheurs en cybersécurité ont mis au jour une faille potentielle dans la gestion des informations d’identification par Microsoft System Center Configuration Manager (SCCM), permettant dans certains cas le déchiffrement de données sensibles qui échappaient auparavant aux outils standards.
En 2022, Adam Chester avait dévoilé un outil en C# capable de déchiffrer les informations d’identification stockées par Microsoft SCCM, telles que les comptes de déploiement ou les identifiants réseau, lorsqu’il est exécuté sur un serveur SCCM. Cette preuve de concept (PoC), initialement publiée sur GitHub, a ensuite été complétée par un fil de discussion sur X (anciennement Twitter) détaillant le processus de décryptage. Bien que cette découverte ait souligné une fonctionnalité déjà intégrée dans le module `sccm` de Mimikatz depuis 2021, le code de Chester a trouvé une nouvelle vie en étant intégré dans d’autres ensembles d’outils, comme SQLRecon, développé par l’auteur de cette analyse.
Lors d’exercices de simulation d’attaques, cette méthode s’est avérée efficace pour extraire et décrypter les informations d’identification de la base de données SCCM sur les serveurs cibles. Cependant, des problèmes récurrents ont été rencontrés : dans certains environnements, le processus de décryptage échouait systématiquement. L’origine de ces échecs résidait dans un formatage des informations d’identification chiffrées, différent de la structure habituelle, rendant les outils existants inopérants.
L’impossibilité de récupérer ces mots de passe dans certains cas est devenue une source de frustration, malgré le fait que l’accès à un serveur SCCM implique généralement des privilèges suffisants pour exploiter d’autres vecteurs d’attaque. Néanmoins, l’incapacité à expliquer cet écart de formatage et à récupérer des mots de passe potentiellement critiques, comme ceux d’administrateur de domaine, a motivé une investigation plus approfondie des mécanismes de chiffrement internes de SCCM.